WhatsApp Online-Status: Skript ermöglicht durchgehende Nutzerüberwachung
Wer die Datenschutzeinstellungen von WhatsApp nicht anpasst, muss damit rechnen, dass Dritte Daten wie Online-Zeiten und Profilbilder protokollieren: Ein Sicherheitsforscher hat ein Skript veröffentlicht, das dies für beliebige Telefonnummern ermöglicht.
(Bild: dpa, Patrick Pleul)
Ein niederländischer Sicherheitsforscher hat ein Skript veröffentlicht, das über die Web-Oberfläche von WhatsApp den öffentlichen Status von beliebigen Nutzern abfragen kann – darunter Profilbilder, Text-Statusangaben sowie den Online-Status. Damit sei die Abfrage dieser Informationen sehr einfach und in großem Stil möglich, erklärt Loran Kloeze.
"Keine Sicherheitslücke"
Kloeze hat das Skript als Proof of Concept auf Github gestellt, nachdem die WhatsApp-Mutter Facebook ihm mitgeteilt habe, dieser Bug sei nicht für das Bug-Bounty-Programm zulässig, das Geld für entdeckte Sicherheitslücken auszahlt. Unter das Bug-Bounty-Programm fallen nur Schwachstellen, die die Abfrage dieser Informationen ermöglichen, wenn der Nutzer seine Datenschutzeinstellungen bereits angepasst hat, führt Facebooks Sicherheits-Team in der von Kloeze veröffentlichten Antwort aus.
Das Skript greife nur auf öffentliche Informationen zu und demonstriere auch keine Sicherheitslücke, so Kloeze, sondern solle darauf aufmerksam machen, dass diese Nutzerdaten leicht in massivem Umfang gesammelt werden können. Der Online-Status beliebiger Nutzer respektive Telefonnummern wird dafür beispielsweise jede zehn Sekunden erfasst.
Online-Status enthüllt Verhaltensroutinen
Forscher der Universität Erlangen-Nürnberg haben schon Ende 2014 demonstriert, wie sich der Online-Status von WhatsApp-Nutzern überwachen lässt – und welche weitreichenden Rückschlüsse auf Alltagsroutinen und Verhaltensweisen sich daraus ziehen lassen.
Das Tool WhatsSpy demonstrierte Anfang 2015, wie leicht sich die Rund-um-die-Uhr-Überwachung von WhatsApp-Nutzern technisch umsetzen lässt – das nun veröffentlichte Skript macht es nochmal deutlich einfacher
Nutzer können die Sichtbarkeit dieser Informationen einschränken, sie sollte dann nicht mehr für unautorisierte Dritte zugänglich sein: Sowohl die Angaben für “Zuletzt Online”, Profilbild und Info lassen sich in den Datenschutzeinstellungen des Messengers von der Standardeinstellung “Jeder” auf “Meine Kontakte” oder “Niemand” ändern. Wer seinen Online-Status ganz verbirgt, sieht dann allerdings auch den Online-Status anderer Nutzer nicht mehr.
[Update 17.05.2017 12:40 Uhr] Mit "Online-Status" ist die automatische Protokollierung der letzten WhatsApp-Nutzung gemeint – und ob ein Nutzer die App gerade aktiv verwendet. Dies unterscheidet sich von der von WhatsApp neu eingeführten – an Snapchat Stories angelehnten – Funktion "Status", mit der Nutzer Bilder veröffentlichen können, die sich über einen Zeitraum von 24 Stunden einsehen lassen. Die Datenschutzeinstellungen für den Online-Status legt man unter "Zuletzt Online" fest, der weiter unten stehen Eintrag für Status bestimmt, welche anderen Nutzer die Foto-Updates sehen können. (lbe)
